Il Parlamento europeo approva i requisiti di cybersicurezza per gli organismi dell’UE, giovedì 9 marzo 2023
Euractiv. La commissione Industria del Parlamento europeo ha votato giovedì (9 marzo) a favore del progetto di relazione dell’eurodeputata Henna Virkkunen che propone l’introduzione di standard comuni di sicurezza informatica in tutte le istituzioni dell’UE, aprendo la strada all’avvio dei negoziati di trilogo.
Il progetto di legge è la versione europea della revisione della direttiva sulla sicurezza delle reti e dell’informazione (NIS2), che ha introdotto requisiti di sicurezza informatica a livello nazionale per le entità che svolgono un ruolo essenziale nel funzionamento della società.
L’obiettivo è istituire un “elevato livello comune di sicurezza informatica presso le istituzioni, gli organi e gli organismi dell’Unione”.
Questa legislazione risponde alle crescenti preoccupazioni in materia di sicurezza informatica, innescate principalmente dalla crescente digitalizzazione degli enti pubblici e delle procedure amministrative e dalla scarsa preparazione degli organi dell’UE ad affrontare potenziali attacchi.
“Un alto livello di preparazione alla cybersicurezza deve essere la norma per gli enti dell’UE”, ha dichiarato Virkkunen. “Dobbiamo garantire capacità tecniche, conoscenze e risorse sufficienti per affrontare efficacemente le minacce alla sicurezza informatica sempre più sofisticate”.
La Commissione europea ha proposto la legislazione nel marzo 2022, lo stesso mese in cui la Corte dei conti europea ha pubblicato uno studio che evidenzia l’urgenza di potenziare la capacità di sicurezza informatica delle istituzioni dell’UE in un panorama di minacce in peggioramento.
Secondo i revisori, gli organismi dell’UE sono stati bersagli sempre più interessanti per i cyber-attaccanti, con un aumento di oltre 10 volte degli incidenti gravi tra il 2018 e il 2021. Questa tendenza è stata in parte determinata dalla pandemia COVID-19, con un numero maggiore di persone che lavorano da casa.
I revisori hanno inoltre rilevato che le capacità di resilienza informatica dell’Unione sono notevolmente carenti e che gli attacchi mirati rappresentano un rischio diffuso, data l’interconnessione delle istituzioni dell’UE.
Il rapporto chiede un rinnovamento dell’infrastruttura di sicurezza informatica del blocco, affermando che “l’UE deve fare di più per proteggere le proprie autorità”
La proposta della Commissione ha introdotto standard comuni di cibersicurezza come quadri di governance, valutazioni dei rischi e piani di miglioramento della cibersicurezza.
Il regolamento amplierebbe inoltre la capacità e il finanziamento del gruppo di risposta agli incidenti di sicurezza informatica (CERT-UE) dell’UE, che sovrintende alla sicurezza delle TIC delle istituzioni e delle organizzazioni dell’Unione.
Il progetto di relazione parlamentare ha introdotto responsabilità aggiuntive per CERT-UE, come svolgere un ruolo di coordinamento nella divulgazione delle vulnerabilità e incaricarlo di proporre i criteri e la scala per i quadri di sicurezza informatica adottati dagli organismi dell’UE.
Nelle modifiche è inclusa anche una disposizione per istituire CERT-UE come “fornitore di servizi interistituzionali autonomi per tutte le entità dell’Unione” integrato in un dipartimento della Commissione, con valutazioni periodiche del suo funzionamento.
Ciò consentirebbe modifiche alla sua struttura, compreso il suo possibile ripristino come ufficio dell’Unione, in reazione a ciò che il progetto di rapporto identifica come “la crescente criticità della sicurezza informatica e il livello di minaccia in costante aumento”.
Il rapporto riorganizza inoltre i tempi per la segnalazione di incidenti informatici significativi, allineando i requisiti temporali di notifica a quelli della direttiva NIS2.
In base alle modifiche del rapporto, le entità devono presentare un allarme preventivo di un incidente entro 24 ore dalla presa di coscienza e una notifica formale dell’incidente, indicando una valutazione iniziale della sua gravità e impatto, entro 72.
“È necessario un quadro comune per le misure di sicurezza informatica per le entità dell’UE per migliorare la loro resilienza e le capacità di risposta all’incidenza”, ha affermato il relatore Virkkunen dopo l’approvazione unanime del progetto di relazione da parte della commissione per l’industria.
“Le entità dell’UE sono tutte interconnesse e non dovrebbero esserci anelli deboli nella catena. Un approccio interistituzionale consentirà alle entità dell’UE di sviluppare le proprie misure di sicurezza informatica e le risposte alle minacce informatiche e ai potenziali attacchi.”
La relazione parlamentare dovrebbe essere adottata senza votazione in plenaria. Poiché il Consiglio dei ministri dell’UE ha concordato la sua posizione sul fascicolo a novembre, i negoziati interistituzionali, i cosiddetti triloghi, inizieranno nelle prossime settimane.
Nel suo approccio, il Consiglio ha individuato elementi per rafforzare il CERT-UE, in particolare le sue capacità di condivisione delle informazioni, e rafforzare il coordinamento nella risposta a gravi incidenti informatici.